Weekly Threats: N. 13 2019

Nella settimana in corso, tre differenti campagne – che si avvalgono rispettivamente dei trojan bancari GootKit e Ursnif  e del malware Qrypter– hanno colpito utenti italiani. Nel primo caso gli attaccanti hanno avviato una massiccia distribuzione di email di spam che hanno raggiunto anche utenze PEC e PEO (Posta Elettronica Ordinaria) della Pubblica Amministrazione. I messaggi, scritti in un buon italiano presentano due diversi oggettientrambi con riferimento al Tribunale di Napoli. 
Nel secondo una nuova ondata di malspam invia alle vittime un messaggio di posta elettronica nel quale è presente un link chiamato “Decreto” che le reindirizza a una pagina di Google Drive sulla quale compare un documento fasullo. 

Il terzo attacco è basato su un allegato Avviso del tribunale.jar che si rivela essere la minaccia as-a-service Qrypter, generalmente distribuita in associazione al Rat Adwind.

Italiani anche tra le vittime di Operation ShadowHammer che ha coinvolto oltre 1 milione di utenti con il maggior numero di infezioni in Russia, Germania e Francia. L’attacco, basato sulla tecnica di infezione definita “supply chain”, ha sfruttato Live Update, un’utility per l’aggiornamento di driver e applicazioni BIOS e UEFI che viene preinstallata in numerosi computer ASUS. La campagna, condotta tra giugno e novembre 2018, è rimasta nascosta per molto tempo anche grazie all’adozione di certificati digitali legittimi come ad esempio “ASUSTeK Computer Inc.”.

Secondo quanto emerso dalle ultime analisi, la vulnerabilità CVE-2018-20250 di WinRAR è stata sfruttata in almeno quattro operazioni malevole mirate. La prima è condotta da attori che si fingono membri del CSWE, Council on Social Word Education. In questo caso alla fine della catena di infezione viene scaricato sulla macchina target il RAT Netwire. 
La seconda ha preso di mira una compagnia dell’industria militare israeliana con mail di spear phishing spoofate. La terza campagna ha preso di mira invece l’Ucraina allo scopo di scaricare sulle macchine target la backdoor Empire. La quarta e ultima campagna rilevata fino ad ora sfrutta dump di credenziali e di carte di credito come esca per distribuire diversi tipi di RAT e password stealer. 

Nuovo capitolo della questione Huawei. Il report annuale del Huawei Cyber Security Evaluation Centre (HCSEC) ha messo in evidenza numerosi problemi di sicurezza nei prodotti dell’azienda. Lo studio identifica concrete e significative criticità relative ai software, affermando anche che non vi sono certezze sul fatto che queste possano essere correttamente gestite nelle apparecchiature presenti al momento in UK. Sebbene l’HCSEC abbia affermato di non voler influenzare la discussione sul 5G, è possibile che i risultati dello studio sollevino nuove questioni per quanto riguarda la scelta da parte della Gran Bretagna di permettere all’azienda di Pechino di sviluppare la tecnologia di quinta generazione nel Paese. 

A partire da ottobre 2015, il gruppo identificato come APT-C-37 (alias Pat Bear) ha lanciato una campagna – che risulta ancora in corso – contro un’organizzazione armata mediorientale. In particolare, sono stati realizzati attacchi di tipo watering hole a partire da due portali appartenenti all’organizzazione armata. Gli utenti che visitavano i due portali venivano indotti a scaricare un RAT (al momento sono stati individuati 32 sample per Android e 13 per Windows). I paesi colpiti sono i seguenti: Francia, Marocco, Egitto, Algeria, Grecia, Turchia, Siria, Iraq, Giordania, Iran, Pakistan.

Di recente un’operazione coordinata dall’Europol e da agenzie di 17 Stati (in Europa, Usa e Canada) ha portato all’arresto di 61 individui e alla chiusura di 50 marketplace nel darkweb coinvolti in attività illegali. L’azione, denominata SaboTor, ha portato anche al sequestro di 300 chilogrammi di sostanze stupefacenti, 52 armi da fuoco e oltre 7 milioni di dollari (in contanti, oro e criptovalute).

Infine, rispetto alle vulnerabilità Apple ha rilasciato 7 bollettini che segnalano il rilascio di correzioni per decine di vulnerabilità. Anche CISCO ha pubblicato diversi aggiornamenti di sicurezza per correggere vulnerabilità in alcuni suoi prodotti. Le più gravi potrebbero consentire ad un attaccante di elevare i propri privilegi, eseguire comandi arbitrari o causare condizioni di denial-of-service sui dispositivi affetti. Aggiornamenti di sicurezza anche per Magento, la piattaforma per l’e-commerce che è stata ripetutamente  colpita da attori ricondotti al panorama noto come Magecart.